NSC2014华为2012Labs DevOps首席架构师许舟平

《软件定义边境及行业趋势》

我是来自于云安全联盟的许舟平,今天跟大家一起分享的是我们对于软件定义边界的一些认识以及我们对于云安全行业上一些趋势的理解。本来这个演讲是由我的一个朋友李雨航过来,但是因为他的签证问题,今天没有到场。

云安全联盟其实是一个国际的组织,在中国和在美国都有一些关注于在云安全领域的一些专家去做。今天跟大家分享的是我们在去年年底和今年上半年推出来的一个软件定义边界的这样一个概念,以及我们看一看软件定义边界,能够帮助我们在云按尤其是现在日新月异的,基于一些企业级和SDN领域能够有些什么样的应用。什么是软件定义边界?以及它面临的是哪些方面的东西?我们看到其实在互联网领域,尤其在手机移动端有很多不同的应用,我们很多企业,以及企业的用户在自己的手机上安装相应的App,还有我们这种支付,还有物联网的一些应用,以及这种私有云,这些东西其实都是有相关的安全需求。软件定义边界,其实是帮助我们去构建一个端到端的高度安全的可信网络。其实它的技术和适用的领域还是更广泛的,并且我们可以看到,它其实也可以保护我们虚拟的私有云去做,对于混合云有一些场景,后面我们会跟大家一起分析来看一看。

软件定义边界的目的是用这种机密的网络模式保护我们的应用,传统的边界,以及对于这种传统的,我们对于物理机的影响其实已经在网络内部移动和迁移到我们的云计算里面,其实变成了一种阻碍。我们知道,尤其是对于高度安全的网络,其实我们可以看到,最好的方式是让我们的企业服务器以及我们相应部署这些应用数据的服务器是不可见的,这其实是一个思路。我们知道是有很大的难度的,包括如何做授权,网络拓扑怎么做,网关如何设置。其实软件定义边界是定义一种模型,是利用知道模型这种概念去帮助我们查看,以及去定义好我们在云计算领域中如何能够把这样一个点对点,以及我们看到对于服务器授权的网络能够进行管理。其实在这个领域我们可以看到,我们请求的设备可能是移动端,包括我们智能手机、Pad,包括虚拟的桌面,以及包括我们在物联网领域用的一些传感器,其实这个领域能应用的范围很多。

软件定义边界有什么特点?我们看到它的特点,如果大家了解像软件定义网络,SDN等等,软件定义网络其实是我们通过这种转发和控制来做分离。对于软件定义边界来讲,它其实是通过这种控制的信道和数据的信道进行分离,来保证所有的服务器在某种请求下,数据轴和控制轴是完全分开的,并且有一个设计,服务器在默认的初始状态下完全是不可见的,并且不接受外面任何的连接,你完全可以认为是一个非常黑的盒子,甚至于你都不知道盒子的存在。其实我们知道,控制区去维护我们客户端是需要有一些技术来做实现的。本来其实我给大家准备了两个不同场景中的文档,今天可能没有办法跟大家一起看,我们只能用这个PPT去看后面的一些我们对于在不同的场景中我们如何做好数据的控制,以及在我们连接相应数据过程中我们如何能够保证发起主机以及接受主机来通过我们的软件定义边界的控制器来做实现。

我们讲SDP是什么?软件定义边界有什么样的特点?我们先看看怎么样去用。它的应用场景其实很多,因为这个概念确实比较新,而且在国内外,现在也在一个初步的使用阶段。我想可能在明年,或者在今后几年,大家就能够慢慢看到软件定义边界的一些实际的厂商做支撑,因为它的很多实现方式是通过开源方式来共享给大家的。本身用一些云计算技术,我们可以看到它对于IaaS、PaaS和移动互联网的支持,保证所有的路由和控制都是通过白名单的方式进行管理。通过这种软件定义边界的网关来说无论是从哪种模式上进行静态请求,可以通过我们移动的手机,通过我们的Pad,能够保证我们做好服务器和服务器之间的连接。因为软件定义边界的协议基于我们一些特定的协议,都通过网关的方式进行路由转发。但是初始只有一条,就是我拒绝一切。这一点还是比较极端的,我们要知道,其实软件定义边界的理念,包括这个申请一个专利,其实你会发现,其实所有的指令以及对于指令控制其实都是通过我们的主机以及访问,通过增加一种规则去运作实现的。所以可以通过这种方式,来保证我的数据、服务以及应用来去做好被管理。

讲到软件定义边界,Gartner做了一个调查,在这个调查当中我们发现,它其实定义了三个阶段,在这三个阶段里面,我们可以了解到会有一些不同的领域和市场来覆盖不同的层面。比如我们讲的通过软件定义的数据中心,以及通过集成软件定义的基础设施,还有包括演化到我们认为这样一个软件定义的安全。这么说是不是软件可以做一切的事?其实也不尽然,因为毕竟你使用的场景和你的业务领域是非常关键的。所以我们可以看到,其实在保护软件定义数据中心里面我们可以发现,包括我们的解码,包括我们对于控制器和可编程函数的接口,这些东西其实都是基于我们的软件定义网络SDN,包括基于相应的协议,以及提供策略,保证安全管理的控制平面和数据运行平面是完全可以分离的。对于集成软件定义的基础设施来讲,我们对于支撑和加强基于SDN的部署模式是非常重要的。因为我们知道,尤其是对于企业级的软件定义网络来讲,如果你法国一个很好的安全策略,你部署的网络,其实这个被攻击的可能性是非常大的。

其实在软件定义网络里面我们有一个很重要的概念,我们是希望基于逻辑属性做好安全策略,而不是基于物理属性。这一点很重要,是因为你可以通过逻辑的方式很好的去调整以及去做好软件定义的边界实施。在软件定义安全里面,我们刚才一直提到,我们创建一个安全的管理器,这种安全的管理器其实是对于一个全局进行管理,而不仅仅是通过以前的分层,通过不同的设备接入以及对于蓝区、绿区、黄区的隔离方法去做。所以在全局策略里面我们可以发现一点,其实不仅仅可以通过控制器和控制之间结合,也能够对于之前的控制可编程。这是一个软件定义安全里面我们经常见到的架构示意图。在这里面我们可以看到,安全的服务层、控制层和我们基础设施层,其实包括Openflow交换机,以及SDN控制器,包括安全状态表,以及认证和涉及,这方面其实都是我们需要在服务层做好。

在控制层面和基础设施层面,其实SDN的控制器,以及对于软件定义边界的策略,还有Openflow交换机,这方面其实也都是有异曲同工之处的,也就是转发、控制和分离。这个场景其实是我们做APT的检测,其实我们可以看到,对于数据,尤其是统计数据,通过安全控制器来去做控制。所以我们可以看到,当你进来之后,可疑的数据做好访问之后,我们可以通过检测规划来做好数据分析。通过定义检测规则,其实我们可以看到,我们通过安全控制器来分析可能会被污染的。并且我们可以通过任务的实行,能够帮助我们做好对于不同应用的执行,很多你要做的东西是依托于我们现在已有的,而不是要做新的开发。这是对于软件定义边界的一层架构,对于像我们运用的库,包括策略库、设备库和流库,做好对于不同领域的网络控制过程。首先第一步是需要我们注册设备,比如假设我们拿一个Pad连接我们企业的内网,来保证在企业内网中做好VPN的动作。在这个里面,要通过一个硬件管理,来做好添加设备的事件。会通过注册的应用,来保证所有的应用在这个里面,一定是通过这种方式做好运维管理。并且订阅一些事件,来保证可以在同一个领域里面,通过安全控制器得到同样事件的服务。通过这种代理的方式,来做好查询和返回,通过添加事件的方式,做好事件分析,进行转发命令和完成事件任务。其实我们可以看到,安全控制器可以做的事情在软件定义边界当中是非常重要的。通过这种方式访问,其实可以通过对于不同领域的隔离以及对于数据的应用,来保证对于不同的设备以及不同的应用来查看相关数据。

刚才跟大家介绍的是软件定义边界是怎么实现的,以及它的一些理念。其实我们可以看到,在软件定义边界里面,包括我们的软件定义网络,SDN以及网络虚拟化技术来做。在这个领域我们发现,基于软件定义边界其实只是一种方式,刚出来的版本是1.0版本,本身它自己也有一些不完善的地方,包括控制器,其实你可以看到,如果所有的都是基于白名单的方式去控制,性能必须要考虑好,策略库有没有可能会被人攻击,这个也要考虑。他是提供一个严格的黑盒的方式限制网络,对于应用的隔离和审查,其实远远比苹果App Store严格很多,这是因为它所面临的应用,对于企业级应用资产的保护是非常严格的。在软件定义边界的领域,通过它对于IaaS,尤其是PaaS这个领域做了之后,其实我们会发现,在这个领域能够产生一些影响。至于影响到底有多深,能够做什么,也要和业界其他一些技术结合在一起。比如容器技术,一些相关部署,以及对于软件定义存储,包括我们看到的软件定义数据中心等等,在不同领域其实都是有不同的实现方式来去做。大家有兴趣的话,其实可以在我们的云安全联盟网站上,可以把相关的具体资料下载下来看一看,包括几种实现形式。比如向网关转变,跟Server转变,基于移动互联网的方式和保护场景。

这是我今天跟大家一起来分享的对于软件定义边界的概念以及一些特点和适用场景,感谢大家!

上一篇:NSC2014爱加密CEO高磊

下一篇:沈逸:沉着应对美国网络安全新攻势